Video: Java Connect to Oracle database Made Easy (Tháng Chín 2024)
Trước những lỗ hổng gần đây được tìm thấy trong Java và những lo ngại đang diễn ra về bảo mật tổng thể của công nghệ, Oracle đã hứa với một lần nữa rằng, nó sẽ khắc phục các vấn đề.
Oracle đã thực hiện một số thay đổi đối với Java và đang nghiên cứu các sáng kiến mới để cải thiện bảo mật, Nandini Ramani, người đứng đầu bộ phận phát triển Java tại Oracle, đã viết trong một bài đăng trên blog vào thứ Sáu. Sau một loạt các cuộc tấn công dựa trên web có cấu hình cao nhắm vào các nhân viên trong các ngành công nghiệp khác nhau, Orace cam kết sẽ giải quyết các vấn đề tiềm ẩn trong môi trường đa nền tảng.
Hai trong số các thay đổi được nêu trong bài đăng của Ramani, bao gồm các bản cập nhật cho mô hình bảo mật applet và hành vi mặc định của plugin Java, đã có sẵn. Những thay đổi khác, như cách các ứng dụng Java xử lý các chứng chỉ bị thu hồi, thực hiện các chính sách bảo mật cục bộ để tạo quy tắc tùy chỉnh và hạn chế các thư viện có sẵn cho các ứng dụng phía máy chủ, hiện đang được phát triển. Ramani đã không cho biết khi nào những cập nhật này sẽ có sẵn.
Hộp cát thì sao?
"Nhìn chung, đây là điều tốt cho Java, nhưng những thay đổi này không giải quyết được vấn đề tiềm ẩn với chính hộp cát Java", HD Moore, giám đốc nghiên cứu của Rapid7 và người tạo ra khung thử nghiệm thâm nhập Metasploit, cho biết gửi email đến SecurityWatch.
Hộp cát Java là một khu vực được bảo vệ nơi các ứng dụng được thực thi, tách biệt với hệ thống cơ bản. Sandbox có nhiệm vụ bắt các thực thi độc hại trước khi chúng có thể chiếm quyền điều khiển máy hoặc chiếm quyền điều khiển các quy trình đang chạy. Tuy nhiên, những kẻ tấn công đã khai thác thành công một số lỗ hổng để vượt qua hộp cát Java.
Cho đến khi Oracle triển khai hộp cát ở cấp độ quy trình, như Adobe Reader và Google Chrome sử dụng, một applet độc hại có chữ ký hợp lệ vẫn có thể lạm dụng các lỗ hổng bảo mật của JRE để thoát khỏi hộp cát và làm tổn hại hệ thống, ông Moore Moore nói.
Những thay đổi cho đến nay
Oracle đã cập nhật mô hình bảo mật gần đây để người dùng có thể chạy các applet đã ký mà không cấp các đặc quyền bổ sung và chặn các applet không dấu chạy. Điều này có nghĩa là chỉ cần ký một applet không còn tự động cung cấp cho chương trình khả năng thoát ra khỏi hộp cát.
"Đây là một điều tốt cho an ninh, " Moore nói.
Một điều tốt nữa là thực tế các cài đặt bảo mật trình cắm thêm mặc định hiện ngăn các applet không dấu hoặc tự ký thực thi. Sự thay đổi hiện có thể giúp liệt kê các trang web cụ thể vào danh sách trắng và quản lý tập trung các chính sách bảo mật Java trong doanh nghiệp, Moore lưu ý.
Và sắp ra mắt …
Hiện tại, Java hỗ trợ cả Danh sách hủy bỏ chứng chỉ (CRL) và Giao thức trạng thái chứng chỉ trực tuyến (OCSP) để xác minh xem chứng chỉ đã ký có còn hiệu lực hay không. Tuy nhiên, do việc kiểm tra không được thực hiện theo mặc định, ngay cả khi chứng chỉ đã bị thu hồi, những kẻ tấn công sẽ có thể tiếp tục sử dụng chứng nhận xấu đó. Oracle đang lên kế hoạch cập nhật cho phép kiểm tra theo mặc định.
Chính sách bảo mật cục bộ sắp tới cung cấp cho quản trị viên quyền kiểm soát bổ sung đối với các cài đặt chính sách, chẳng hạn như cho phép quản trị viên hệ thống xác định máy tính nào để chạy các applet Java và máy tính nào không thể.
Mặc dù tất cả các thử nghiệm gần đây của Java đều ảnh hưởng đến các applet chạy trên trình duyệt Web, Oracle cũng đang khám phá các cách để đảm bảo các ứng dụng phía máy chủ vẫn an toàn, Ramani nói. Một thay đổi sẽ là loại bỏ một số thư viện không cần thiết ở phía máy chủ để giảm bề mặt tấn công.
Lịch trình cập nhật mới
Oracle cũng sẽ cập nhật Java thường xuyên hơn một chút. Hiện tại, Java được cập nhật ba lần một năm, theo lịch cập nhật riêng từ tất cả các sản phẩm khác của Oracle. Bản cập nhật bản vá quan trọng hàng quý sẽ bắt đầu bao gồm các bản sửa lỗi Java vào tháng 10, Ramani nói. Oracle vẫn sẽ phát hành bản cập nhật khẩn cấp, "ngoài băng", khi cần thiết.
Xem xét rằng CPU đã là một nỗ lực đòi hỏi nhiều thời gian của các quản trị viên, việc thêm Java vào hỗn hợp chỉ làm cho một bản cập nhật thậm chí còn tuyệt vời hơn. Mặt khác, điều đó có nghĩa là các quản trị viên không phải nhớ lịch cập nhật riêng của Java.
